Děravý systém
Stát hackerům napospas
Pokračování ze str. 1 Původní analýza ovšem ukazuje, v jakém stavu minimálně ještě před několika měsíci informační technologie na ministerstvu byly. A to navzdory tomu, že bezpečnostní složky dlouhodobě varují, že ministerstva zahraničí napříč evropskými zeměmi jsou jedním z nejprioritnějších cílů hackerů z Ruska i Číny.
Dokument získaný MF DNES například zdůrazňuje, že systémy na zahraničí jsou poskládané ze silně zastaralého hardwaru, který už jejich výrobci vůbec nepodporují, a nevydávají tak ani základní záplaty bezpečnostních chyb.
Do ministerské sítě se navíc mohl připojit kdokoliv, aniž by se ověřovala jeho identita. Chyběly i výkonné firewally, které by hackerům přístup ke státním počítačům ztížily.
Na to, že jsou počítače napadené, se tak dle zdrojů MF DNES přišlo na ministerstvu jen náhodou. Jednomu z „ajťáků“totiž přišlo divné, že z počítače, na kterém nikdo nepracuje, odtéká neznámo kam masivní množství dat.
Součástí budoucích opatření by tak mělo být i to, aby mohlo ministerstvo analyzovat, co a kam jeho sítí protéká.
Celá infrastruktura ministerstva, která zahrnuje desítky zastupitelských úřadů v zahraničí, se přitom bude muset nejspíše kompletně vyměnit. Po letech přítomnosti hackerů totiž bezpečnostní experti nedokážou určit, kde všude se uhnízdili.
Na poradenství si ministerstvo najalo společnost BOD IT. V té v minulosti figuroval někdejší ministr Rusnokovy vlády František Koníček a následně jeho syn. Obchodním společníkem zase firma byla dalšímu exministrovi Miroslavu Tomanovi. A společnost byla u množství nepovedených IT projektů státu, za které přesto inkasovala desítky milionů.
Vydírání státu
Jinak vyřešilo ministerstvo problémy se systémem udělování víz, zvaným Visapoint, který do loňského listopadu sloužil cizincům k registraci termínu pro žádost o víza do Česka. Protože jeho zneužívání hackery nebylo schopné zabránit, prostě ho vypnulo. Policie pak vloni na podzim oznámila obvinění osmi lidí původem z Ruska a Vietnamu, kteří tímto způsobem kupčili s termíny a vydělali si tak stovky milionů korun.
Potom, co se v roce 2017 provalil únik komunikace ministerstva, uložila vláda tehdy nově zřízenému Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), aby provedl analýzu systémů napříč ministerstvy. Její závěry jsou tajné. Obecně již o neutěšeném stavu mluvil šéf NÚKIB Dušan Navrátil, a to v tom duchu, že množství systémů nemá pod kontrolou stát, ale soukromé firmy. Těm nahrává i to, že protihráče na ministerstvech jim mnohdy dělají nepříliš zdatní ajťáci. Ostatní totiž přetahuje za násobné platy soukromý sektor.
„Narážíme na ministerstva, kde to je outsourcováno takovým způsobem, že mají na své informační systémy jen minimální vliv. Ministerstva jsou na těch IT firmách závislá a bojí se nevýhodné smlouvy vypovídat. Někde by se dalo říci, že jsou těmi firmami až vydírána,“popsal Navrátil v rozhovoru pro MF DNES krátce poté, co v roce 2017 nastoupil do funkce.
Od té doby se přitom mnoho nezměnilo. V problémech se dále zmítá například ministerstvo práce a sociálních věcí, které Navrátil speciálně vypíchl.
„Dovedete si asi představit, co by se stalo, kdyby se někdo, kdo chce nějaký stát poškodit, dostal třeba
do systému dávek důchodového zabezpečení a tam začal pozměňovat data? Kdyby to dost dlouho dělal bez odhalení, přemazaly by se i zálohy a najednou by celý systém byl nefunkční,“uvedl obecný příklad Navrátil.
Snaha někdejší ministryně práce Michaely Marksové (ČSSD) zásadní systémy dostat zpod kontroly firmy OKsystem skončila tím, že na ni její nástupkyně Jaroslava Němcová (ANO) podala několik trestních oznámení. Marksová totiž za vybudování nových systémů zaplatila stamiliony, funkční ovšem nejsou dodnes.
V područí IT firem
Před loňskými Vánocemi tak ministerstvo pod vedením další ministryně práce Jany Maláčové (ČSSD) smlouvy s OKsystemem prodloužilo o další dva roky za zhruba miliardu. Jinak podle něj hrozilo, že stát sociální dávky přestane být schopen vyplácet. Podobně v područí jediné soukromé firmy je například i ministerstvo spravedlnosti. Informace v počítačových systémech státních zastupitelství a soudů zásadně ovlivňují životy stovek tisíc lidí v Česku. Veškeré zásadní databáze, v nichž Česko vysoce citlivé soudní údaje skladuje, ovšem neovládá stát, ale jediná soukromá firma CCA Group.
Jen ta má přístup ke zdrojovým kódům. Naposledy v roce 2010 s ní ministerstvo spravedlnosti bez výběrového řízení uzavřelo novou smlouvu na dobu neurčitou.
Nemělo příliš na výběr. Veškeré znalosti nutné pro chod po dvě dekády flikované změti systémů totiž nikdo jiný nemá.
Systém je z roku 1996, což je z pohledu rychlého vývoje počítačů pravěk. Nikdy navíc neprošel žádnou výraznější modernizací. Jen se vršily záplaty a propojení na další databáze. I tady je vše navíc mimořádně nákladné. Z auditu ministerstva financí vyplývá, že resort spravedlnosti jen v letech 2011 až 2013 CCA vyplatil 357 milionů korun, ale doklady existují jen k 69 milionům.
Infrastruktura, která zahrnuje desítky zastupitelských úřadů, se bude muset nejspíše vyměnit.
Podobně v područí jediné soukromé firmy je například i ministerstvo spravedlnosti.